周六,一名黑客实施了一次网络钓鱼攻击,从互联网上最大的NFT市场之一OpenSea的用户那里窃取了数百个NFT,总价值170万美元。公司官员周日试图向用户保证,在OpenSea上造币、购买、上市和销售NFT是安全的,尽管他们坚称调查仍在进行中。
上周末,OpenSea联合创始人兼首席执行官德文·芬泽(Devin Finzer)表示,黑客诱使32名受害者签署了一份恶意有效载荷,授权他们免费向攻击者传输NFT。Finzer表示,公司确信这是一次网络钓鱼攻击,但他解释说,他们不知道网络钓鱼发生在哪里。据该公司称,目前,袭击似乎是在OpenSea之外进行的。
攻击发生在OpenSea向其新的Wyvern智能合约系统迁移期间,该系统于周五开始,预计将于2月25日完成。
在一篇推特帖子中,这位首席执行官排除了OpenSea的网站是此次攻击的出发点。他补充说,与来自OpenSea的电子邮件进行互动并不是此次攻击的传播媒介,没有受害者报告点击了可疑电子邮件的链接。点击网站的横幅,签署新的Wyvern智能合同,并使用OpenSea的列表迁移工具将列表移动到新的Wyvern合同系统也被确定为安全的。
芬泽周日表示:“我们正在积极与物品被盗的用户合作,缩小他们与之互动的一组常见网站的范围,这些网站可能是恶意签名的罪魁祸首。”。“随着我们进一步了解网络钓鱼攻击的确切性质,我们将不断向您通报最新情况。”
该公司首席技术官纳达夫·霍兰德(Nadav Hollander)周日也提供了攻击的技术概要。霍兰德排除了攻击与迁移到新Wyvern合同系统有关的可能性。他说,这些恶意命令是在OpenSea进行迁移之前由受害者签署的,“不太可能与OpenSea的迁移流有关”
这起事件发生在周六,持续了几个小时,表明这是一次有针对性的袭击。
霍兰德说:“32名用户在相对较短的时间内被盗了NFT。这非常不幸,但表明这是一次有针对性的攻击,而不是系统性问题。”。
霍兰德补充说,尽管攻击似乎发生在OpenSea之外,但该公司“正在积极帮助受影响的用户,并讨论如何为他们提供额外帮助。”